如何处理linux 自动执行的sh脚本

二、肉机上线发现清除木马进程
top 命令

可以发现id是0 CPU可用是0，有个进程txma PID 2187使用的CPU过多异常情况
可以使用killall tama 或者 kill -9 2187
netstat -natp 命令

可以发现linux服务器开启一个本地异常端口连接另一个IP的端口
此时也能确认PID是2187，可以使用kill -9 2187
清除木马文件
[root@k8s-master ~]# find / -name “txma”
/root/txma
/usr/bin/txma
/usr/local/bin/txma
[root@k8s-master ~]#
1
2
3
4
5
查到木马文件进行删除

三、清除木马自动复活点
使用crontab计划任务复活木马
crontab -e 也可以在cat /var/spool/cron/root查看 #注意 这是用户计划任务要查询每一个用户的
cat /etc/crontab 这是系统计划任务 #注意 格式需要指明那个用户执行
系统自启动复活木马
在/etc/rc.local 文件中添加木马启动命令，这个文件在开机后会执行
一些自动加载的文件复活木马
/etc/profile #所有用户登录系统时自动执行此文件，木马复活下载运行可以放到这里；
.bash_profile用户家目录下面的 #当前此用户登录系统会执行，木马复活下载运行可以放到这里 ；
/etc/bashrc #所有子shell都会执行此文件，木马复活下载运行可以放到这里 ；
.bashrc 用户家目录下面的 #当前此用户子shell会执行，木马复活下载运行可以放到这里 ；
注意文件的扩展属性：
chattr +i 文件名 #文件只读
lsattr #查看
rootkit后门复活木马
rootkit后门是用户执行常用的命令时候，复活木马程序，此时系统命令被感染。
一般是合并木马文件和命令文件、或者写脚本关联使用软连接到命令
例如：
cat txma /usr/bin/ps >> ps1
which ps 把ps1 软连到ps
四、 断木马下载的后路
linux系统不安装下载的命令 例如：curl wget等

五、删除木马创建的用户
userdel -r 用户名 #如果删除不了是因为此用户有运行的进程，需要kill此用户的所运行的进程